Drittanbieter-Cookies eignen sich für ihre Zwecke, ermöglichen aber auch websiteübergreifendes Tracking. Chrome plant, Drittanbieter-Cookies ab dem 1. Quartal 2024 für 1% der Nutzer einzuschränken, um Tests zu ermöglichen. Ab Anfang 2025 werden Drittanbieter-Cookies für 100 % der Nutzer eingestellt, vorbehaltlich aller verbleibenden Wettbewerbsbedenken der Wettbewerbsbehörde des Vereinigten Königreichs (Competition and Markets Authority, CMA). Wenn deine Website einen Anmeldevorgang hat, der auf Cookies von Drittanbietern basiert, ist sie wahrscheinlich von dieser Änderung betroffen. Vergewissern Sie sich, dass Ihre Website bereit ist.
Auf dieser Seite finden Sie Informationen zu den Anmeldeszenarien, die am wahrscheinlichsten betroffen sind, sowie Verweise auf mögliche Lösungen.
Wenn Ihre Website nur Abläufe innerhalb derselben Domain und von Subdomains verarbeitet, z. B. publisher.example und login.publisher.example, werden keine websiteübergreifenden Cookies verwendet und Ihr Anmeldevorgang wird voraussichtlich nicht von der Einstellung betroffen.
Wenn Ihre Website jedoch eine separate Domain für die Anmeldung verwendet, z. B. mit Google Log-in oder der Facebook-Anmeldung, oder Ihre Website die Nutzerauthentifizierung über mehrere Domains oder Subdomains hinweg verwenden muss, müssen Sie unter Umständen Änderungen an Ihrer Website vornehmen, um eine reibungslose Umstellung von websiteübergreifenden Cookies zu ermöglichen.
Identitätsbezogene User Journeys testen
Am besten können Sie testen, ob Ihr Anmeldevorgang von der Einstellung von Drittanbieter-Cookies betroffen ist, indem Sie bei der Registrierung, Passwortwiederherstellung sowie bei der Anmeldung und Abmeldung das Flag zum Testen der Einstellung von Drittanbieter-Cookies aktivieren.
Nach der Einschränkung von Drittanbieter-Cookies solltest du Folgendes prüfen:
- Nutzerregistrierung:Ein neues Konto kann wie erwartet erstellt werden. Wenn Sie externe Identitätsanbieter verwenden, prüfen Sie, ob die Registrierung neuer Konten bei jeder Integration funktioniert.
- Passwortwiederherstellung: Die Passwortwiederherstellung funktioniert wie erwartet – von der Weboberfläche über CAPTCHAs bis hin zum Empfang der E-Mail zur Passwortwiederherstellung.
- Anmeldung:Der Anmeldeworkflow funktioniert innerhalb derselben Domain und beim Aufrufen anderer Domains. Testen Sie unbedingt jede Anmeldeintegration.
- Abmelden:Der Abmeldevorgang funktioniert wie erwartet und der Nutzer bleibt nach dem Vorgang abgemeldet.
Sie sollten auch testen, ob andere Websitefunktionen, für die eine Nutzeranmeldung erforderlich ist, auch ohne websiteübergreifende Cookies funktionsfähig bleiben, insbesondere wenn sie websiteübergreifende Ressourcen laden müssen. Wenn Sie beispielsweise ein CDN zum Laden von Nutzerprofilbildern verwenden, achten Sie darauf, dass dies weiterhin funktioniert. Wenn Sie wichtige Nutzerpfade haben, z. B. den Bezahlvorgang und die Anmeldung mit Anmeldung verhindern, müssen Sie dafür sorgen, dass diese weiterhin funktionieren.
In den nächsten Abschnitten finden Sie genauere Informationen dazu, wie diese Abläufe betroffen sein können.
Föderierte Identität
Anmeldeschaltflächen wie Über Google anmelden, Facebook-Anmeldung und Über Twitter anmelden sind ein definitives Zeichen dafür, dass Ihre Website einen föderierten Identitätsanbieter verwendet. Da jeder föderierte Identitätsanbieter eine eigene Implementierung hat, sollten Sie die Dokumentation Ihres Anbieters prüfen oder sich mit ihm in Verbindung setzen, um weitere Informationen zu erhalten.
Wenn Sie die eingestellte Google Log-in JavaScript-Plattformbibliothek verwenden, finden Sie Informationen zur Migration zur neueren Google Identity Services-Bibliothek zur Authentifizierung und Autorisierung.
Auf den meisten Websites, die die neuere Google Identity Services-Bibliothek verwenden, können Drittanbieter-Cookies verworfen werden, da die Bibliothek aus Gründen der Kompatibilität automatisch zu FedCM migriert wird. Wir empfehlen dir, deine Website zu testen, wenn das Flag für den Test zur Einstellung von Drittanbieter-Cookies aktiviert ist, und gegebenenfalls die Checkliste für die FedCM-Migration zur Vorbereitung zu nutzen.
Separate Anmeldedomain
Einige Websites verwenden eine andere Domain nur zum Authentifizieren von Nutzern, die nicht für Cookies derselben Website geeignet sind, z. B. eine Website, die example.com für die Hauptwebsite und login.example für den Anmeldevorgang verwendet. Bei diesen Websites ist unter Umständen der Zugriff auf Drittanbieter-Cookies erforderlich, damit der Nutzer in beiden Domains authentifiziert wird.
Mögliche Migrationspfade für dieses Szenario sind:
- Aktualisierung zur Verwendung von eigenen Cookies („same-site“):Änderung der Website-Infrastruktur so, dass der Anmeldevorgang auf derselben Domain (oder einer Subdomain) wie die Hauptwebsite gehostet wird, für die nur eigene Cookies verwendet werden. Dies kann je nach Konfiguration der Infrastruktur einen höheren Aufwand erfordern.
- Gruppen ähnlicher Websites (RWS) verwenden: Gruppen ähnlicher Websites ermöglichen einen eingeschränkten websiteübergreifenden Cookie-Zugriff zwischen einer kleinen Gruppe zusammengehöriger Domains. RWS ist eine Privacy Sandbox API, die für diesen Anwendungsfall entwickelt wurde. RWS unterstützt jedoch nur den websiteübergreifenden Cookie-Zugriff für eine begrenzte Anzahl von Domains.
- Wenn Sie Nutzer über mehr als fünf verknüpfte Domains authentifizieren, lesen Sie FedCM: Mit Federated Credentials Management (FedCM) können Identitätsanbieter identitätsbezogene Datenflüsse verarbeiten, ohne Drittanbieter-Cookies erforderlich zu machen. In Ihrem Fall könnte Ihre „Anmeldedomain“ als FedCM-Identitätsanbieter dienen und zur Authentifizierung von Nutzern in Ihren anderen Domains verwendet werden.
Mehrere Domains
Wenn ein Unternehmen mehrere Produkte hat, die auf verschiedenen Domains oder Subdomains gehostet werden, möchte es die Nutzersitzung unter Umständen auf diese Produkte verteilen. Dies kann den Zugriff auf Drittanbieter-Cookies zwischen mehreren Domains erfordern.
In diesem Szenario ist das Hosten aller Produkte unter derselben Domain oft unpraktisch. Mögliche Lösungen sind in diesem Fall:
- Gruppen ähnlicher Websites verwenden:Wenn für eine kleine Gruppe zusammengehöriger Domains der websiteübergreifende Cookie-Zugriff erforderlich ist.
- Federation Credential Management (FedCM) verwenden:Wenn die Anzahl der Domains groß ist, können Sie eine separate Anmeldedomain verwenden, um als Identitätsanbieter zu fungieren und Nutzer auf Ihren Websites mit FedCM zu authentifizieren.
Lösungen für die Anmeldung
Drittanbieter-Einmalanmeldung (SSO)
Aufgrund der Komplexität der Implementierung einer SSO-Lösung entscheiden sich viele Unternehmen für die Nutzung von Drittanbieterlösungen, um den Anmeldestatus zwischen mehreren Ursprüngen zu teilen. Beispiele für Anbieter sind Okta, Ping Identity, Google Cloud IAM oder Microsoft Entra ID.
Wenn Sie einen Drittanbieter nutzen, sollten Sie sich am besten darüber informieren, wie sich die Einstellung von Drittanbieter-Cookies auf die Lösung auswirkt und welchen Ansatz er für seinen Dienst empfiehlt.
Open-Source-Lösungen für die Einmalanmeldung (SSO)
Viele Unternehmen, die eigene SSO-Lösungen betreiben, nutzen etablierte Branchenstandards wie OpenID Connect, OAuth oder SAML oder etablierte Open-Source-Projekte wie Keycloak, WSO2, Auth.js oder Hydra.
Wir empfehlen, die Dokumentation Ihres Anbieters zu lesen, um zu verstehen, wie sich das Auslaufen von Cookies auf seine Lösung auswirken könnte und wie der beste Migrationspfad für diese spezifische Lösung aussieht.
Individuelle interne Lösungen
Wenn Ihre Anmeldelösung in einen der vorherigen Anwendungsfälle fällt und intern integriert ist, finden Sie unter Vorbereitung auf die schrittweise Einstellung von Drittanbieter-Cookies ausführlicher, wie Sie Ihren Code prüfen und sich auf die Einstellung von Drittanbieter-Cookies vorbereiten können.
Jetzt handeln!
Wenn Ihre Website unter einen dieser Anwendungsfälle fällt, gibt es mehrere Lösungen, um mögliche Auswirkungen zu beheben. Sie können beispielsweise den Authentifizierungsvorgang zur Hauptdomain verschieben, sodass nur eigene Cookies verwendet werden, die Verwendung von Gruppen ähnlicher Websites, um Cookies zwischen einer kleinen Anzahl von Domains zu teilen, oder die Verwaltung von föderierten Anmeldedaten.
Der richtige Zeitpunkt, Ihren Dienst zu prüfen und sich auf die Einstellung von Drittanbieter-Cookies vorzubereiten, ist jetzt.